Manuals / Cisco Systems / Computer Equipment / Network Router

Cisco Systems 3.1 manual セキュリティ上の考慮事項

Models: 3.1

1 60

Download 60 pages 40.44 Kb

Page 14

セキュリティ上の考慮事項

第 1 章

概要

外部 DHCP サーバ

セキュリティ上の考慮事項

高度なセキュリティが必要な場合は、すべてのクライアントに対して DHCP サーバの IP アドレスの取得を要求することを推奨します。この要件を適用するためには、すべての無線 LAN を、DHCP Required に設定して、有効な DHCP サーバの IP アドレスを入力するように設定し、クライアントの固定 IP アドレスが禁止されるようにします。DHCP Required に設定されている無線 LAN にアソシエートするクライアントは、指定した DHCP サーバの IP アドレスを取得しないと、どのネットワークサービスへのアクセスも許可されません。

DHCP Required が選択されている場合、クライアントは DHCP を使って IP アドレスを取得しなければならないことに注意してください。固定 IP アドレスを持つクライアントはすべて、ネットワーク上で許可されなくなります。クライアントの DHCP プロキシとして動作する Cisco Wireless LAN Controller が、DHCP トラフィックを監視します。

セキュリティが多少劣ってもかまわない場合は、DHCP Required を無効に設定し、有効な DHCP サーバの IP アドレスを指定して、無線 LAN を作成することができます。その後クライアントは、固定 IP アドレスを使用するか、指定された DHCP サーバの IP アドレスを取得するかを選択できます。

また、オペレータは、DHCP Required を無効に設定し、DHCP サーバの IP アドレスを 0.0.0.0 に指定した無線 LAN を別に作成することもできます。このような無線 LAN では、すべての DHCP 要求がドロップするため、クライアントは固定 IP アドレスを使用しなければなりません。これらの無線 LAN は、無線接続による管理をサポートしていないことに注意してください。

	Cisco Wireless LAN Solution 3.1 製品ガイド
1-14	OL-7955-01-J

Image 14

Cisco Systems 3.1 manual セキュリティ上の考慮事項

Contents

アクセスコントロールリスト（P. 1-18）オペレーティングシステムソフトウェア（P. 1-6）オペレーティングシステムのセキュリティ（P. 1-6）クライアントローミング（P. 1-11）動的周波数選択（P. 1-21）ファイル転送（P. 1-22）Cisco Wireless LAN Solution の概要ネットワークに追加された Lightweight アクセスポイントの自動検出と自動設定。シングルコントローラ展開スタンドアロンの Cisco Wireless LAN Controller では、複数のフロアとビルディングに配置されてい Lightweight アクセスポイントの完全制御。同一コントローラ（レイヤ 2）でのローミングとサブネット間（レイヤ 3）でのローミング。ネットワークに追加されたCisco Wireless LAN Controller のRF パラメータの自動検出と自動設定。マルチコントローラ展開図 1-2 は、一般的なシングルコントローラ展開を示しています。図 1-3 一般的なマルチコントローラ展開 Cisco Wireless LAN Solution の概要Cisco Wireless LAN Solution 3.1 製品ガイド第 1 章オペレーティングシステムソフトウェアオペレーティングシステムのセキュリティCisco WLAN Solution の有線セキュリティ設定上の要件レイヤ 2 およびレイヤ 3 の Lightweight Access Point protocol（LWAPP）動作動作上の要件 Radio Resource Management（RRM） Cisco Wireless LAN Controller プライマリ、セカンダリ、ターシャリコントローラコントローラ間（レイヤ 2）ローミングクライアントローミング同一コントローラ（レイヤ 2）でのローミングサブネット間（レイヤ 3）でのローミングクライアントロケーション特殊なケース：VoIP による通話ローミング無線 LAN ごとの割り当て Cisco WLAN Solution 無線 LAN はすべて、同じ DHCP サーバまたは異なる DHCP サーバを使用する外部 DHCP サーバインターフェイスごとの割り当てセキュリティ上の考慮事項図 1-4 一般的なモビリティグループ名の適用 Cisco WLAN Solution のモビリティグループ1-15 コントローラが正常に VLAN トラフィックをルーティングするように、無線 LAN と管理インター 1-17 Cisco WLAN Solution の有線接続Cisco 2000 シリーズ Wireless LAN Controller をネットワークに接続するときは、1 ～ 4 本の Cisco 1000 シリーズ Lightweight アクセスポイントをネットワークに接続するときは、Cisco WLAN Solution 無線 LAN アクセスコントロールリストID ネットワーキング 1-19Cisco Secure ACS との統合の強化ネルではサポートされていません。動的周波数選択1-21 レーダーアクティビティが見られたチャネルをレーダーチャネルとして記録し、そのチャネルでのアクティビティを 30 秒間回避します。Power over Ethernet ファイル転送ピコセル機能 1-23Intrusion Detection Service（IDS 侵入検知サービス） 1-25 Cisco 2000 シリーズ Wireless LAN ControllerCisco 4100 シリーズ Wireless LAN Controller Cisco Wireless LAN ControllerCisco 4400 シリーズ Wireless LAN Controller Cisco 2000 シリーズ Wireless LAN Controller の型番Cisco 4100 シリーズ Wireless LAN Controller の型番は、次のとおりです。 Cisco 4100 シリーズ Wireless LAN Controller の型番Cisco 4400 シリーズ Wireless LAN Controller の型番 Cisco 4400 シリーズ Wireless LAN Controller の型番は、次のとおりです。ディストリビューションシステムポート 1-29 管理インターフェイスについて設定方法は、「管理インターフェイスの確認と変更」の項（P.7-3）を参照してください。設定方法は、「AP マネージャインターフェイスの作成および割り当て」の項（P.7-4）を参照してください。 AP マネージャインターフェイスオペレータ定義インターフェイス設定方法は、「仮想インターフェイスの確認と変更」の項（P.7-6）を参照してください。仮想インターフェイスサービスポート 1-31設定方法は、「サービスポートの設定」の項（P.4-12）を参照してください。サービスポートインターフェイスStartup Wizard コントローラ設定のクリア設定の保存コントローラのリセット CLI からのログアウト Cisco Wireless LAN Controller のフェールオーバーの保護Cisco Wireless LAN Controller のメモリ 1-33Cisco Wireless LAN Controller の時間帯 Cisco Wireless LAN Controller の自動時刻設定Cisco Wireless LAN Controller へのネットワーク接続 Cisco Wireless LAN Controller Cisco 2000 シリーズ Wireless LAN Controller1-35 Cisco Wireless LAN Solution 3.1 製品ガイドCisco 4100 シリーズ Wireless LAN Controller 1-37 Cisco 4400 シリーズ Wireless LAN ControllerCisco 4400 シリーズ Wireless LAN Controller は、１つまたは 2 つの物理ポートペアを使ってネット Cisco 4100 シリーズ Wireless LAN Controller VPN/ 拡張セキュリティモジュール 1-39 Lightweight アクセスポイントCisco 1000 シリーズ IEEE 802.11a/b/g Lightweight アクセスポイント図 1-10 1000 シリーズ Lightweight アクセスポイント図 1-11 一般的な 1030 シリーズ Lightweight アクセスポイントの設定 Cisco 1030 リモートエッジ Lightweight アクセスポイント図 1-11 は、一般的な Cisco 1030 リモートエッジ Lightweight アクセスポイント設定を示しています。サポート対象の規制区域は、付録 D 「Cisco WLAN Solution でサポートされている国番号」を参照してください。 Cisco 1000 シリーズ Lightweight アクセスポイントの製品番号Cisco 1000 シリーズ Lightweight アクセスポイントには、802.11a と 802.11b/g の無線機能がそれぞ 1-41アンテナのセクター化 Cisco 1000 シリーズ Lightweight アクセスポイントの外部アンテナと内部アンテナ外部アンテナコネクタアンテナパターンは、付録 E 「1000 シリーズアクセスポイントのアンテナパターン」を参照してください。1-43 Cisco 1000 シリーズ Lightweight アクセスポイントの LEDCisco 1000 シリーズ Lightweight アクセスポイントのコネクタ Cisco 1000 シリーズ Lightweight アクセスポイントの物理的なセキュリティ Cisco 1000 シリーズ Lightweight アクセスポイントの所要電力Cisco 1000 シリーズ Lightweight アクセスポイントの取り付けオプション Cisco 1000 シリーズ Lightweight アクセスポイントの外部電源装置1-45 Cisco 1000 シリーズ Lightweight アクセスポイントの監視モードコントローラディスカバリとしての DNS の使用 Lightweight モードから Autonomous モードへの復帰 Autonomous アクセスポイントの Lightweight モードへの変換Lightweight モードに変換したアクセスポイントの使用に関するガイドライン 1-47 コントローラを使用した前のリリースへの復帰MODE ボタンと TFTP サーバを使用した前のリリースへの復帰 VCI 文字列 Lightweight モードに変換したアクセスポイントから SSC を受け入れるコントローラDHCP オプション 43 の使用 Cisco 1000 シリーズconfig ap get-radio-core-dump スロットアクセスポイント名 Lightweight モードに変換したアクセスポイントへのコントローラを使用したデバッグコマンドの送信config ap remote-debug enable disable exccommand アクセスポイント名変換したアクセスポイントからコントローラへのクラッシュ情報の送信config ap reset-button enable disable アクセスポイント名 all Lightweight モードに変換したアクセスポイントの Reset ボタンの無効化Lightweight モードに変換したアクセスポイントの静的 IP アドレスの設定 config ap static-ip enable アクセスポイント名 IP アドレスマスクゲートウェイ1-51 不正なアクセスポイント不正なアクセスポイントのロケーション、タギング、および阻止不正なアクセスポイントが信頼されたネットワーク上にあるかどうかを検出するのは、Rogue Detector モードです。これは何らかの RF サービスを提供するのではなく、むしろ定期的に Cisco Wireless LAN Controller から不正なアクセスポイントのレポートを受け取り、すべての ARP パケットをスニファするものです。このモードでは、ARP 要求と、Cisco Wireless LAN Controller から受信した MAC アドレスが一致していることが検出されると、Cisco Wireless LAN Controller に対する不正なアクセスポイントアラートが生成されます。コマンドラインインターフェイス Web ユーザインターフェイスと CLIWeb ユーザインターフェイス 1-53Base Cisco Wireless Control SystemCisco WCS LocationCisco WCS Base 1-55Cisco WCS Location Cisco WCS ユーザインターフェイス1-57 Cisco WCS Cisco Wireless LAN Controller AutodiscoveryFloor Plan Editor 入力および出力イメージサイズに対する制限はありません。Cisco WCS アラームの電子メール通知 Cisco WCS のロケーションキャリブレーションCisco 2700 シリーズ Location Appliance 1-59Cisco 2700 シリーズ Location Appliance Cisco Wireless LAN Solution 3.1 製品ガイド第 1 章 1-60